Negli ultimi mesi, il governo degli Stati Uniti ha introdotto numerosi nuovi requisiti che interessano le organizzazioni che vendono software agli enti governativi. Poiché questi nuovi requisiti sono complessi, molti leader non sono ancora sicuri dell’impatto che avrà sulla loro organizzazione. In questo articolo condividerò alcuni dei concetti più importanti che dovrai comprendere per proteggere le tue attività governative e rispettare la conformità.
Nuovi requisiti di sicurezza del software: cosa è cambiato?
Negli ultimi anni si sono verificati incidenti di sicurezza di alto profilo come quelli che hanno colpito SolarWinds e il pacchetto open source log4j hanno aumentato l’attenzione del governo sulla sicurezza del software. Iniziare con Ordine esecutivo della Casa Bianca 14028 sul miglioramento della sicurezza informatica della nazione nel maggio 2021, una serie di azioni negli ultimi due anni hanno portato a una serie di requisiti chiari che hanno un impatto su qualsiasi fornitore di software governativo.
D'ora in poi, qualsiasi organizzazione che venda software al governo degli Stati Uniti sarà tenuta ad autocertificare la propria conformità alle pratiche di sviluppo software sicuro delineate dal governo nel Quadro di sviluppo software sicuro NIST.
Una delle cose più importanti da capire è che le organizzazioni non devono semplicemente attestare di seguire queste stesse pratiche per il codice software che scrivono, ma anche che anche i componenti open source che inseriscono nelle loro applicazioni seguono queste pratiche.
All’inizio di giugno, il governo ha riaffermato questi requisiti Memorandum dell'OMB M-23-16 (PDF) e fissano scadenze per la conformità che si stanno avvicinando rapidamente: probabilmente arriveranno nel quarto trimestre di quest'anno (per il software critico) e nel primo trimestre del prossimo anno (per tutti gli altri software).
Ciò significa che nei prossimi mesi le organizzazioni si adopereranno per comprendere questi nuovi requisiti di attestazione e determinare come si conformeranno, sia per il codice che scrivono autonomamente che per i componenti open source che introducono nei loro prodotti software.
Secondo M-23-16, la sanzione per inadempienza è severa:
“L’agenzia [federale] deve interrompere l'uso del software se l'agenzia ritiene insoddisfacente la documentazione del produttore del software o se l'agenzia non è in grado di confermare che il produttore ha identificato le pratiche che non può attestare...”
Caso particolarmente impegnativo di Open Source
Man mano che molte organizzazioni approfondiscono i requisiti di attestazione, scoprono che la conformità, soprattutto in caso di scadenze ravvicinate, può rivelarsi impegnativa. Il NIST SSDF è un quadro complesso per la sicurezza e ci vorrà del tempo affinché le organizzazioni non solo garantiscano di rispettare queste pratiche, ma anche di documentarle in dettaglio.
Ma ancora più scoraggiante è il fatto che il governo stia chiedendo ai fornitori di attestare le pratiche di sicurezza dell’intero prodotto software, compresi i componenti open source di quel software. Oggi, il software moderno è spesso costituito in gran parte da componenti open source messi insieme insieme ad alcuni software personalizzati. Nella nostra ricerca lo abbiamo scoperto oltre il 90% delle applicazioni contiene componenti open source, e in molti casi l'open source costituisce oltre il 70% del codice base.
La tua organizzazione può attestare le proprie pratiche di sicurezza, ma come puoi attestare esattamente le pratiche di sicurezza seguite dai manutentori open source che scrivono e mantengono il codice open source che utilizzi nelle tue applicazioni?
È una sfida enorme e le organizzazioni si rivolgono ai manutentori open source per maggiori informazioni sulle loro pratiche di sicurezza. Sfortunatamente, molti di questi manutentori open source sono volontari non retribuiti, che lavorano sull'open source come hobby di notte e nei fine settimana. Pertanto, chiedere loro di fare il lavoro extra per verificare che le loro pratiche di sicurezza corrispondano agli standard elevati stabiliti dal NIST SSDF non è pratico.
Un modo in cui le organizzazioni possono evitare questa sfida è semplicemente non utilizzare l’open source nelle loro applicazioni. E anche se a prima vista sembra una soluzione semplice, è anche un’alternativa sempre più impraticabile, poiché l’open source per molti versi è diventato di fatto la moderna piattaforma di sviluppo.
Un modo migliore per risolvere questo problema è garantire che i manutentori dei pacchetti su cui fai affidamento vengano pagati per svolgere questo importante lavoro di sicurezza.
Ciò potrebbe richiedere ulteriori ricerche per garantire che i componenti open source che stai utilizzando abbiano alle spalle dei manutentori che vengono pagati - da benefattori aziendali, da fondazioni o da sforzi commerciali - per convalidare che i loro pacchetti soddisfino questi importanti standard di sicurezza. Oppure puoi anche contattare tu stesso i manutentori e diventare uno sponsor aziendale del loro lavoro. Quando progetti il tuo approccio, tieni presente che la maggior parte delle applicazioni moderne non banali hanno migliaia di dipendenze open source distinte, ciascuna creata e gestita da un individuo o team diverso, quindi lo sforzo manuale per adattare questo approccio è considerevole.
Un passo avanti impegnativo ma necessario
Potrebbe essere difficile rispettare questi requisiti, ma nel contesto delle crescenti vulnerabilità della sicurezza che causano danni enormi ai settori pubblico e privato, rappresentano un passo avanti necessario. Il governo degli Stati Uniti è il più grande acquirente di beni e servizi al mondo, e questo vale sia per l'IT che per altri settori. Utilizzando il proprio potere d’acquisto per imporre miglioramenti allo standard generale di sicurezza per il software, il governo sta contribuendo a garantire un futuro più sicuro.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
- Fonte: https://www.darkreading.com/application-security/selling-software-government-know-security-attestation-first
- :ha
- :È
- :non
- $ SU
- 2021
- 7
- a
- WRI
- azioni
- che interessano
- contro
- agenzie
- agenzia
- Tutti
- lungo
- anche
- alternativa
- an
- ed
- in qualsiasi
- applicazioni
- approccio
- si avvicina
- SONO
- articolo
- AS
- attenzione
- evitare
- fondale
- BE
- perché
- diventare
- stato
- dietro
- essendo
- Meglio
- entrambi
- portare
- affari
- ma
- ACQUIRENTE..
- by
- Materiale
- non può
- Custodie
- casi
- Challenge
- impegnativo
- cambiato
- pulire campo
- codice
- complesso
- conformità
- ottemperare
- componenti
- concetti
- Confermare
- notevole
- contenere
- Aziende
- creato
- critico
- costume
- Cybersecurity
- dipendenze
- progettazione
- dettaglio
- Determinare
- Mercato
- diverso
- scoprire
- distinto
- do
- documento
- documentazione
- fare
- domini
- ogni
- Presto
- sforzo
- sforzi
- o
- garantire
- Intero
- particolarmente
- Anche
- di preciso
- esecutivo
- ordine esecutivo
- extra
- Faccia
- FAST
- Federale
- pochi
- trova
- Nome
- seguire
- seguito
- Nel
- forza
- Avanti
- essere trovato
- Fondazioni
- Quarto
- Contesto
- futuro
- GAO
- merce
- Enti Pubblici
- agenzie governative
- nuocere
- Avere
- aiutare
- Alta
- alto profilo
- Casa
- Come
- HTTPS
- Enorme
- i
- identificato
- if
- Impact
- impattato
- importante
- miglioramenti
- miglioramento
- in
- inclusi
- è aumentato
- crescente
- sempre più
- individuale
- informazioni
- ai miglioramenti
- introdotto
- ISN
- IT
- SUO
- jpg
- giugno
- ad appena
- mantenere
- Sapere
- maggiormente
- maggiore
- Cognome
- capi
- Guidato
- piace
- probabile
- ll
- cerca
- fatto
- mantenere
- FA
- Manuale
- molti
- massiccio
- partita
- Maggio..
- si intende
- Soddisfare
- Memorandum
- mente
- moderno
- mese
- Scopri di più
- maggior parte
- devono obbligatoriamente:
- nazione
- necessaria
- Bisogno
- New
- GENERAZIONE
- nista
- of
- di frequente
- on
- esclusivamente
- aprire
- open source
- or
- minimo
- organizzazione
- organizzazioni
- Altro
- nostro
- su
- delineato
- ancora
- complessivo
- proprio
- pacchetto
- Packages
- pagato
- doloroso
- passato
- piattaforma
- Platone
- Platone Data Intelligence
- PlatoneDati
- energia
- Pratico
- pratiche
- un bagno
- Problema
- produttore
- Prodotto
- Prodotti
- protegge
- Dimostra
- la percezione
- acquisto
- Trimestre
- RE
- raggiungere
- riaffermato
- fare affidamento
- richiedere
- necessario
- Requisiti
- riparazioni
- s
- più sicuro
- Scala
- Settori
- sicuro
- problemi di
- venda
- Vendita
- Serie
- Servizi
- set
- alcuni
- grave
- Condividi
- Un'espansione
- semplicemente
- So
- Software
- lo sviluppo del software
- soluzione
- RISOLVERE
- alcuni
- Fonte
- codice sorgente
- sponsor
- Standard
- standard
- Di partenza
- soggiorno
- step
- fornitori
- sicuro
- Fai
- team
- di
- che
- Il
- il mondo
- loro
- Li
- si
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- cose
- questo
- quest'anno
- quelli
- migliaia
- tempo
- a
- oggi
- insieme
- vero
- seconda
- incapace
- capire
- purtroppo
- us
- noi governo
- uso
- utilizzando
- CONVALIDARE
- Ve
- volontari
- vulnerabilità
- Modo..
- modi
- we
- WELL
- Che
- quando
- quale
- while
- OMS
- volere
- con
- Lavora
- mondo
- scrivere
- anno
- anni
- ancora
- Tu
- Trasferimento da aeroporto a Sharm
- te stesso
- zefiro
